¿Qué es la ingeniería social y cómo me protejo?
Información actualizada en septiembre de 2024
Se llama ingeniería social a las diferentes técnicas de manipulación que usan los ciberdelincuentes para obtener información confidencial de los usuarios.
Los ciberdelincuentes engañan a sus víctimas haciéndose pasar por otra persona. Por ejemplo, se hacen pasar por familiares, personas de soporte técnico, compañeros de trabajo o personas de confianza. El objetivo de este engaño es apropiarse de datos personales, contraseñas o suplantar la identidad de la persona engañada.
¿Qué canales utilizan los ciberdelincuentes para los ataques de ingeniería social?
Los ciberdelincuentes manipulan y engañan a las personas a través de:
- llamadas telefónicas
- visitas personales al domicilio de las personas
- aplicaciones de mensajería instantánea
- correos electrónicos
- redes sociales
¿Qué métodos pueden utilizar los ciberdelincuentes para cometer sus ataques?
- Hacerse pasar por un familiar, un conocido o un compañero de trabajo.
- Ofrecer a la víctima premios o promociones únicas y limitadas a cambio de
sus datos. - Hacerse pasar por el técnico de la empresa o por la persona responsable de sistemas.
- Invitar a completar formularios para ganar un premio o un producto.
- Ofrecer actualizaciones de navegadores o aplicaciones a través de páginas falsas.
¿Cuáles son las técnicas de ingeniería social más difundidas?
Existen diferentes tipos de técnicas de ingeniería social:
- Vishing: obtienen información a través de una llamada telefónica. El ciberdelincuente se hace pasar por un familiar, personal de una empresa o de soporte técnico.
- Phishing: envían correos electrónicos falsos para obtener información de la víctima. Por ejemplo, pueden solicitar datos personales, de tarjetas de crédito, de la obra social, de actualización laboral, contraseñas de sistemas, etc.
- Dispositivos maliciosos: dejan colocado un pendrive con contenido malicioso en una computadora pública y este dispositivo obtiene información de la persona que la utiliza.
- Spear phishing: envían un correo electrónico falso a alguien que tiene, por ejemplo, un determinado cargo o maneja información sensible en una empresa. Los delincuentes conocen a la persona e intentan robarle datos.
- Concursos falsos: informan a la persona que ha ganado un premio para obtener información personal.
- Farming: realizan varias comunicaciones con las víctimas hasta conseguir la mayor cantidad de información posible.
- Robo de cuentas de correos electrónicos: roban cuentas reales para cometer ilícitos entre los contactos de la víctima, enviar software malicioso o para obtener información personal.
Utilización de la Inteligencia Artificial para cometer estafas a través de la ingeniería social
Con el avance IA, las técnicas utilizadas por los ciberdelincuentes para manipular a las personas y hacer que revelen información confidencial se han vuelto más sofisticadas y efectivas:
Phishing personalizado: la IA analiza datos de redes sociales para crear correos electrónicos de phishing muy convincentes, dirigidos a individuos específicos.
Deepfakes y suplantación de identidad: los deepfakes son vídeos, imágenes o archivos de voz manipulados con software de inteligencia artificial (IA) para parecer reales y auténticos. Los ciberdelincuentes pueden usarlos para extorsionar, cometer fraude o manipular a las víctimas para que realicen acciones perjudiciales.
Chatbots maliciosos: que interactúan con las víctimas de manera muy convincente para obtener datos sensibles y cometer fraude.
Evolución de Patrones: los algoritmos de aprendizaje automático pueden estudiar y aprender de los sistemas de detección de fraudes, adaptando sus técnicas para evadir la detección.
¿Existe alguna herramienta informática para protegernos de la ingeniería social?
No, los ataques de ingeniería social son muy difíciles de identificar. Los ciberdelincuentes usan diferentes técnicas psicológicas y sociales, distintos tipos de dispositivos y plataformas para engañar a las personas.
¿Cómo podemos protegernos de la ingeniería social?
No entregues datos personales a personas extrañas por teléfono, correos electrónicos o redes sociales.
- Configurá la privacidad en las redes sociales para que no queden expuestos tus datos personales.
- Informate y aprendé sobre este tipo de amenazas.
- Usá una contraseña segura.
- Configurá la autenticación en dos pasos para estar alerta de accesos indebidos a tus cuentas.
- Prestá atención a cualquier persona que te pida información personal.